يشكل الدين الفني خطرًا على الأمن السيبراني
هل تبحث عن تفسير لشخص عادي لـ “الدين الفني” وسبب أهميته؟ يشرح تيرومي لاسكوسكي، وهو مدرس في شركة DevelopIntelligence، وهي شركة Pluralsight، الأساسيات في هذه المقابلة الموجزة ويناقش الآثار المترتبة على قادة الأعمال.
ما هو الدين الفني؟
لوتا: اسمحوا لي أن أبدأ بالتعريف الأصلي، وبعد ذلك سأشرح كيفية استخدام الناس لهذا المصطلح اليوم.
وأوضح وارد كننغهام، المؤلف المشارك لبيان Agile الذي تصور مصطلح “الدين الفني”، ذلك باستعارة مالية: إن المضي قدمًا لتطوير تطبيق برمجي جديد يشبه الحصول على قرض (دين).
تخيل بناء منتج باستخدام تقنية جديدة تمامًا. أنت تواجه العديد من الأمور المجهولة، وهناك بعض التجارب والخطأ. أنت تبذل قصارى جهدك بما تعرفه الآن، وتمضي قدمًا في مواجهة عدم اليقين.
عندما تكتشف ما يعمل بشكل جيد وما لا يعمل، يمكنك استخدام هذه المعرفة لتحسين التعليمات البرمجية. إن تحسين الكود من خلال التعلم من التجربة يشبه سداد القرض. هذا هو مفهوم التمكين، أليس كذلك؟
ولكن في السنوات الأخيرة، تغير تعريف الدين الفني من مفهوم كانينجهام الأصلي. اليوم، تفكر معظم المنظمات في الدين الفني باعتباره رمزًا به عيوب وأوجه قصور معروفة.
إذا تركت هذا الرمز الفرعي في مكانه، فإنك تسمح بنمو ديون التكنولوجيا.
هل يؤدي السعي إلى سرعة الوصول إلى السوق إلى المزيد من الديون التقنية؟
TL: غالبًا ما يؤدي التركيز على الإصدارات السريعة والمتكررة إلى اختصار جودة التعليمات البرمجية. العقلية: “إذا لم يكن الأمر مثاليًا، فيمكننا إصلاحه في الإصدار التالي. دعنا فقط نخرجه من الباب.”
يمكن أن يتراكم الدين الفني (حسب تعريف اليوم) بهذه الطريقة.
نظرًا لأن المطورين يحتاجون إلى إكمال الميزات والتحسينات الجديدة، فقد لا يكون لديهم الوقت في جداولهم لإصلاح التعليمات البرمجية من الإصدارات السابقة.
ما لم يشتكي العميل من البرنامج أو أنه لا يعمل تمامًا، فقد يختار الفريق ترك العيوب في مكانها، بدلاً من “إضاعة” الوقت في الإصلاحات.
إذا لم تخصص المنظمة وقتًا لكتابة تعليمات برمجية نظيفة في المقام الأول، فلماذا تستغرق وقتًا للقيام بذلك لاحقًا؟
إذا لم تعد أبدًا لتحسين الكود، فإنك تسمح للدين بالاستمرار والنمو.
أنت تدفع الفائدة عليه. يمكن أن يتخذ هذا “الاهتمام” أشكالاً عديدة – على سبيل المثال، العملاء غير الراضين أو ضعف حصة السوق لأن منتجك أقل من عروض المنافسين.
كيف يؤثر الدين الفني على الأمن؟
TL: لتحقيق أهداف السرعة، غالبًا ما تقوم المؤسسات بإصدار تعليمات برمجية تحتوي على ثغرات أمنية صارخة.
الضعف هو أي ضعف يمكن أن يؤدي إلى اختراق البيانات والأنظمة وسمعة العلامة التجارية وما إلى ذلك.
تشير مخاطر أمن تكنولوجيا المعلومات إلى العواقب المحتملة التي قد تواجهها الشركة إذا نجح أحد المهاجمين في استغلال نقاط الضعف هذه.
يجب على المطورين والشركات الموازنة بين السعي للسرعة وعوامل الأداء الوظيفي وسهولة الاستخدام والأمان. ومن المؤسف أن هذه الأولويات تتعارض.
ماذا لو كانت ميزات الأمان تجعل استخدام المنتج أكثر صعوبة؟ من يفوز؟ الوظيفة أم سهولة الاستخدام أم الأمان؟ إذا كنت تعمل في الحكومة أو في صناعة شديدة التنظيم، فمن المرجح أن يفوز الأمن.
ولكن بالنسبة لأي شخص آخر، غالبًا ما تفوز الوظائف وسهولة الاستخدام على حساب الأمان.
وإذا لم تعطي الشركة الأولوية للأمن في البداية، فماذا يحدث عندما تكون هناك ثقافة “يجب أن نتحرك بسرعة، لذلك دعونا نضع ذلك لاحقًا”؟ كما هو الحال مع السيارات، السرعة تقتل.
إليك ملاحظة مهمة أخرى: يمكن للمؤسسة كتابة تعليمات برمجية نظيفة مع الاستمرار في اتباع اختصارات بشأن الأمان. أنت بحاجة إلى كود نظيف والتركيز على الأمان.
من المسؤول عن أمن التطبيق؟
TL: لا يزال الأمان بمثابة فكرة لاحقة للعديد من فرق تطوير البرامج. قد ينظرون إليها على أنها مسؤولية شخص آخر و/أو شيء يحدث لاحقًا في دورة حياة تطوير البرامج.
وظيفة المبرمج النموذجية هي خلق أشياء جديدة. غالبًا ما لا يكون هذا الشخص خبيرًا أمنيًا. من أجل كتابة التعليمات البرمجية مع أخذ الأمان في الاعتبار، يحتاج مطورو البرامج إلى التدريب على مبادئ البرمجة الآمنة.
بالإضافة إلى ذلك، يجب على كل فريق تطوير برامج الرجوع إلى مستند المتطلبات أثناء إنشاء المنتج.
تحدد هذه الوثيقة تفاصيل ما يجب أن يكون البرنامج قادرًا على القيام به (المتطلبات الوظيفية)، بالإضافة إلى المعلمات الأخرى الحيوية ولكنها قد لا تكون مرئية بشكل مباشر للمستخدم (المتطلبات غير الوظيفية مثل الأمان).
لا تقوم العديد من المؤسسات بتدريب مبرمجيها بهذه المعرفة أو تحديد متطلبات الأمان الشاملة في بداية المشروع، على الرغم من أن الفشل المبكر في الأمان يمكن أن يسبب خطرًا كبيرًا على الأعمال.
ما هي القضايا الأمنية التي يمكن أن تسببها الديون الفنية؟
TL: تتضمن المشكلات الأكثر شيوعًا ضوابط الأمان في الكود أو النظام.
يُعرّف المعهد الوطني للمعايير والتكنولوجيا (NIST) التحكم الأمني بأنه “إجراء وقائي أو إجراء مضاد موصوف لنظام معلومات أو منظمة لحماية سرية معلوماتها وسلامتها وتوافرها”.
الضوابط الأمنية موجودة للتخفيف من المخاطر المحتملة.
إذا كانت هذه الضوابط مفقودة أو تم تنفيذها بشكل سيء بسبب موقف “سنفعل ذلك بشكل أفضل لاحقًا”، فقد تكون الشركة مسؤولة عن الافتقار إلى العناية الواجبة والحوكمة لحماية البيانات والأنظمة الخاصة بأصحاب المصلحة.
يتحدث متخصصو تكنولوجيا المعلومات عن الفرق بين الأمان “المدمج” و”المثبت”. الأمان ليس شيئًا يمكنك تثبيته حتى نهاية المنتج.
يجب أن يتم بناؤها منذ البداية. كلما تجاهلت أو تأخرت في التركيز على الأمن، كلما أصبح من الصعب القيام بذلك بشكل صحيح لاحقًا.
إذا كانت التعليمات البرمجية تحتوي على ثغرات أمنية، فإن طريقة جعل التعليمات البرمجية آمنة هي إعادة هيكلتها (إعادتها) لتصحيح الثغرات الأمنية.
وإلا فإن المشاكل الأمنية سوف تستمر. إن وضع شيء ما في الأعلى باعتباره “إصلاحًا” يشبه وضع ضمادة على جرح سيئ. قد تمنحك الضمادة وقتًا للذهاب إلى الطبيب، لكنها لا تعالج الإصابة.
قد ينتهي الأمر بتركيزك على السرعة إلى أن يكلفك أكثر من أي ميزة كنت تعتقد أنك اكتسبتها، إذا كان عليك العودة إلى إعادة البناء.
كيف يمكن لقادة الأعمال المساعدة في تقليل الديون التقنية؟
لوتا: نظرًا لأن المزيد والمزيد من مخاطر الأعمال مرتبطة بمخاطر التكنولوجيا، فمن المهم أن يكون لدى جميع قادة الأعمال فهم صحيح للديون الفنية – ما هي، وما أسبابها، والآثار الأمنية المحتملة – حتى تشعر بالقدرة على طرح الأسئلة حوله.
إذا كانت مؤسستك تقدر الأتمتة والسرعة، فمن المحتمل أن تحصل على ديون فنية. لذلك، تريد التأكد من أنه دين مقبول.
النوع المناسب من الديون الفنية يزيد من سرعة وخفة عملك. إن النوع الخاطئ من الديون الفنية سوف يعرض مؤسستك بلا داع لمخاطر أمنية متزايدة.
تحدث عن هذا التمييز كفريق قيادي. إن أولويات العمل التي تؤكد عليها تدفع السلوكيات التي تبقي الديون الفنية تحت السيطرة، أو على العكس من ذلك، تؤدي إلى انتشارها.
يحتاج C-suite إلى دعم CISO في التأكد من أن المطورين وغيرهم من المشاركين في مشاريع البرمجيات لديهم أفضل المعرفة الحالية حول الأمان.
هل قمت بتدريب المبرمجين لديك على القيام بالتشفير الآمن؟ هل تسعى جاهدة لتضمين أكبر قدر ممكن من اختبارات الأمان الآلية في عملية CI/CD الخاصة بك لفرض أفضل ممارسات الأمان؟
تحتاج القيادة – المجموعة التنفيذية – إلى تحديد الأسلوب الصحيح للمطورين فيما يتعلق بأهمية أمن تكنولوجيا المعلومات.
سيفعل المطورون ما يكافئه القادة. إذا كنت تفضل السرعة على الأمان وجودة التعليمات البرمجية، فقد تزيد من مخاطر الأمن السيبراني لمؤسستك.
كقائد، يمكنك التأثير على مؤسستك لفعل الشيء الصحيح.
المصدر: pluralsight
قد يهمك:
